'agorasim001.tempsite.ws'에 해당되는 글 1건

  1. 2009.06.15 ValePresente.exe
0x02 analysis2009. 6. 15. 16:44

오랜만에 악성파일 하나 분석해봅니다.

파일 정보
File Name : ValePresente.exe
File Size : 415744 byte
md5sum : ae3bf41e03a3c770d3fbf8c6ed802d38

재미있게도 파일 아이콘이 이미지 파일의 아이콘이었습니다.




해당 파일을 실행하면 아래와 같은 팝업창이 뜹니다.
스페인어 같은데 무슨 말인지 모르겠습니다. 그냥 추측으로 뭔가 성공(sucesso)? 했다라는 이야기 같습니다.
악성코드가 잘 실행되었다? 라는 의미일지도 모르죠..




OK 버튼을 클릭하기 전까지는 실제 악성코드가 동작하지는 않습니다.
OK 버튼을 클릭하면 2개의 사이트에서 또 다른 바이너리 파일을 다운로드 합니다.




hxxp://agorasim001.tempsite.ws/ww/registro.exe
hxxp://************.co.kr/board/latest_skin/nzero/docu.exe

두번째 도메인은 국내 도메인이라 부득이하게 도메인명을 숨겼습니다.
대충 URL만 보더라도 제로보드라는 것을 알 수 있었습니다.

패킷을 떠보면 분명 두개의 파일을 받은걸로 나오는데 Winalysis 결과에서는 파일 변경사항이 없었습니다. -_-;;




이번에는 SysAnalyzer에서 돌려 봤더니 아래와 같은 내용들이 있었습니다.

  CreateFileA(C:\Documents and Settings\demantos\Local Settings\Temporary Internet Files\Content.IE5\2JAR6RKR\registro[1].exe)    
  WriteFile(h=4d0)    
  RegOpenKeyExA (HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings)    
  CreateFileA(C:\Documents and Settings\demantos\Local Settings\Temporary Internet Files\Content.IE5\2JAR6RKR\registro[1].exe)    
  CreateFileA(C:\Documents and Settings\demantos\Local Settings\Temporary Internet Files\Content.IE5\2JAR6RKR\registro[1].exe)    
  WinExec(C:\Arquivos de programas\mssn.exe,0)    
  closesocket(4e8)    
  bind(4ec, port=0)    
  connect( 211.189.69.120:80 )    
  send(h=4ec)    
  recv(h=4ec)    
  CreateFileA(C:\Documents and Settings\demantos\Local Settings\Temporary Internet Files\Content.IE5\Y3MFAHGX\docu[1].exe)    
  WriteFile(h=4b8)    
  CreateFileA(C:\Documents and Settings\demantos\Local Settings\Temporary Internet Files\Content.IE5\Y3MFAHGX\docu[1].exe)    
  CreateFileA(C:\Documents and Settings\demantos\Local Settings\Temporary Internet Files\Content.IE5\Y3MFAHGX\docu[1].exe)    
  WinExec(C:\Arquivos de programas\wind32.exe,0)    
  ExitProcess()   

파일을 다운로드는 하는 듯 한데 제가 직접 받았던 파일 사이즈와 약간 달랐습니다.
임시폴더에 있는 파일은 registro.exe가 29.9kbyte였는데 제가 직접 받았던 파일은 3.59Mbyte였습니다.
docu.exe 파일도 사이즈가 달랐습니다.

registro.exe 파일 생성(다운로드) 후 실행하는 mssn.exe과 docu.exe 파일을 생성한 후 실행하는 wind32.exe 확인 결과 모두 악성코드인 것으로 확인되었습니다.
wind32.exe는 agobot-bz 웜에 의해 생성되는 파일이었고 mssn.exe는 백도어였습니다.

다음 내용도 같이 보시겠습니다.

  Urls
  --------------------------------------------------
  c:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE http://www.americanas.com.br
  http://agorasim001.tempsite.ws/ww/registro.exe
  http://wintergarden.co.kr/board/latest_skin/nzero/docu.exe
  ...
  ExeRefs
  --------------------------------------------------
  File: ValePresente_dmp.exe_
  c:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE http://www.americanas.com.br
  C:\Arquivos de programas\mssn.exe
  http://agorasim001.tempsite.ws/ww/registro.exe
  C:\Arquivos de programas\wind32.exe
  http://wintergarden.co.kr/board/latest_skin/nzero/docu.exe

잘 보시면 Program FIles 경로가 명칭이 다른걸 확인할 수 있습니다.
아무래도 스페인어로 된 윈도우를 설치하면 Program Files가 Arquivos de programas라는 이름으로 폴더가 생성되는 듯 합니다.
(스페인어판은 설치를 안해봐서...)




----------------- 여기서부터는 C:\Arquivos de programas 폴더를 생성해서 접근~


Program Files 폴더가 폴더명이 안바뀌니 Arquivos de programas 폴더를 그냥 만들었습니다.
그리고 Arquivos de programas 폴더 아래에 Internet Explorer 폴더도 만들고 IEXPLORE.EXE 파일도 생성해놨습니다. -0-




그리고 악성코드를 실행해봤습니다.
c:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE http://www.americanas.com.br 는 익스플로러로 AMERICANAS 은행 사이트를 여는데 사용되었고 c:\Arquivos de programas 폴더에 mssn.exe, RunDLL31.exe, wind32.exe 파일이 생성되어 있었습니다.




WinExec(C:\Arquivos de programas\wind32.exe,0)에서 보셨듯이 wind32.exe를 실행을 하긴 하는데 프로그램에 약간 문제가 있는 듯 합니다.
정상적으로 실행이 안되고 있었습니다.




C:\Arquivos de programas 폴더를 만들고 실행을 하니 없을때와는 상당히 다른 양상을 보였습니다.
일단 위에서 보셨던 파일 3개가 생성되었구요 C:\WINDOWS\System32\drivers에 avgmfx90.sys 파일을 생성하였고
이 파일은 PCChips라는 서비스를 구동하는 파일이었습니다.

그런데 이 서비스는 services.msc 명령을 통해서 확인을 해봤는데 보이질 않아서 gmer와 IceSword를 실행해서 확인해보니
IceSword에서는 확인이 되지 않았고 gmer에서만 확인이 되었습니다.

구글신께 문의를 해보니 avgmfx90.sys 파일은 루트킷이라고 답변을 주시더군요..
http://www.threatexpert.com/report.aspx?md5=3f56e5b64b22a4db5534a3e472817a2f


mssn.exe 프로세스는 docu.exe를 다운 받았던 *****.co.kr 사이트에 연결이 된것 같은데 상태에는 CLOSE_WAIT 상태로
계속 남아 있었습니다. CLOSE_WAIT라면 얼마 후 연결이 끊겨야 정상인데 끊기지 않고 계속 프로세스에 보이고 있었습니다.




docu.exe와 registro.exe 파일은 다운로드된 후 각각 wind32.exe와 mssn.exe 파일을 생성하고 자기 자신은 삭제를 합니다.
즉, 동일한 파일을 생성하는 것이지요..




그리고 wireshark로 패킷을 캡쳐해본 결과 docu.exe 파일을 다운로드 한 뒤 FTP 사이트로 접속하는 걸 확인할 수 있었습니다.
docu.exe는 wind32.exe와 동일한 파일이고 wind32.exe는 실행시 에러가 발생했었습니다.


오늘(15일) 확인해보니 hxxp://************.co.kr/board/latest_skin/nzero/docu.exe을 다운로드하면 memo.swf 파일을 다운로드하고 있었습니다.
memo.swf 파일은 http://ryzeurhuhbfkakm.com/?BannerID=ddddd로 리다이렉션되고 있습니다.
위 사이트는 불법대출 사이트인듯 합니다. -_-




디버거로 정적분석을 해봐야 wind32.exe나 mssn.exe가 정확하게 무슨 행동을 하는지 알 수 있을 듯 합니다.
둘 다 패킹되어 있었고(Thinstall 2.4x - 2.5x -> Jitit Software) 언패킹을 해야하는데...


일단 정리를 해보면

1. 국내 사용자들에겐 그다지 치명적이지 않다.
앞에서 보셨다시피 C:\Arquivos de programas 폴더가 있어야지만 추가적인 행동들을 하고 있었습니다.
그리고 윈도우 한글판에는 C:\Arquivos de programas 폴더가 없습니다.
즉, 추가적인 악성코드가 다운로드/실행되지 않기 때문에 큰 문제가 되지 않는다.

2. 바이러스토탈 검사 결과 국내 백신 중 V3만 ValePresente.exe를 탐지하고 있었고 docu.exe, registro.exe는 모두 탐지하지 못하고 있었습니다.
ValePresente.exe : http://www.virustotal.com/ko/analisis/44df9075c347239c7f52569283a60eb01a167ba46a71d02c890b9df00a977f42-1245051342
docu.exe : http://www.virustotal.com/ko/analisis/3498fe15e33b645efa2c2135d9d1577b54b86a6b17e33a4610f48c265465d93e-1245051279
registro.exe : http://www.virustotal.com/ko/analisis/0702fd37a56ce6c8662c30a900abc6eb289c8b8ac043c2285ab003c0a29f5e54-1245051708




반쪽짜리 분석보고서였습니다. ㅜ.ㅜ
제대로 동작을 안한데다가 정적분석을 해야하는데 귀찮아서...-_-;;





Posted by demantos

댓글을 달아 주세요